El grupo APT Void Banshee explota la vulnerabilidad de Microsoft MHTML para distribuir el ladrón de información Atlantida

Luis Quiles

julio 19, 2024

Vulnerabilidad, Seguridad de Información

Un grupo de amenazas persistentes avanzadas (APT) llamado Void Banshee ha sido observado explotando una vulnerabilidad de seguridad recientemente divulgada en el motor de navegación Microsoft MHTML como un día cero para entregar un ladrón de información llamado Atlantida.

La empresa de ciberseguridad Trend Micro, que observó esta actividad a mediados de mayo de 2024, informó que la vulnerabilidad, identificada como CVE-2024-38112, fue utilizada como parte de una cadena de ataque en varias etapas que emplea archivos de acceso directo a Internet (URL) especialmente diseñados.

«Variaciones de la campaña Atlantida han estado muy activas a lo largo de 2024 y han evolucionado para usar CVE-2024-38112 como parte de las cadenas de infección de Void Banshee,» dijeron los investigadores de seguridad Peter Girnus y Aliakbar Zahravi. «La capacidad de grupos APT como Void Banshee para explotar servicios deshabilitados, como [Internet Explorer], representa una amenaza significativa para las organizaciones en todo el mundo.»

Los hallazgos coinciden con divulgaciones anteriores de Check Point, que informó a The Hacker News sobre una campaña que aprovecha la misma vulnerabilidad para distribuir el ladrón de información. Cabe señalar que la CVE-2024-38112 fue abordada por Microsoft como parte de las actualizaciones de Patch Tuesday la semana pasada.

CVE-2024-38112 ha sido descrita por el fabricante de Windows como una vulnerabilidad de suplantación en el motor de navegador MSHTML (también conocido como Trident) utilizado en el ahora descontinuado navegador Internet Explorer. Sin embargo, la Iniciativa Zero Day (ZDI) ha afirmado que se trata de una falla de ejecución remota de código.

«¿Qué sucede cuando el proveedor declara que la solución debería ser una actualización de defensa en profundidad en lugar de un CVE completo?», señaló Dustin Childs de ZDI. «¿Qué sucede cuando el proveedor afirma que el impacto es la suplantación, pero el error resulta en la ejecución remota de código?»

Las cadenas de ataque implican el uso de correos electrónicos de spear-phishing que contienen enlaces a archivos ZIP alojados en sitios de intercambio de archivos, los cuales contienen archivos URL que explotan CVE-2024-38112 para redirigir a la víctima a un sitio comprometido que aloja una aplicación HTML maliciosa (HTA).

Abrir el archivo HTA resulta en la ejecución de un script Visual Basic (VBS) que, a su vez, descarga y ejecuta un script de PowerShell responsable de recuperar un cargador troyano .NET, que finalmente utiliza el proyecto de shellcode Donut para descifrar y ejecutar el ladrón Atlantida dentro de la memoria del proceso RegAsm.exe.

Atlantida, basado en ladrones de información de código abierto como NecroStealer y PredatorTheStealer, está diseñado para extraer archivos, capturas de pantalla, datos de geolocalización y datos sensibles de navegadores web y otras aplicaciones, incluyendo Telegram, Steam, FileZilla y varias carteras de criptomonedas.

«Al usar archivos URL especialmente diseñados que contenían el manejador de protocolo MHTML y la directiva x-usc!, Void Banshee pudo acceder y ejecutar archivos de Aplicaciones HTML (HTA) directamente a través del proceso deshabilitado de IE,» dijeron los investigadores.

«Este método de explotación es similar a CVE-2021-40444, otra vulnerabilidad de MSHTML que se utilizó en ataques de día cero.»

No se sabe mucho sobre Void Banshee aparte del hecho de que tiene un historial de apuntar a regiones de América del Norte, Europa y el Sudeste Asiático para el robo de información y el lucro financiero.

El desarrollo se produce mientras Cloudflare reveló que los actores de amenazas están incorporando rápidamente exploits de prueba de concepto (PoC) en su arsenal, a veces tan rápido como 22 minutos después de su publicación pública, como se observó en el caso de CVE-2024-27198.

«La velocidad de explotación de los CVE divulgados es a menudo más rápida que la velocidad a la que los humanos pueden crear reglas WAF o crear y desplegar parches para mitigar los ataques,» dijo la compañía de infraestructura web.

Esto también sigue al descubrimiento de una nueva campaña que aprovecha los anuncios de Facebook que promueven temas falsos de Windows para distribuir otro ladrón de información conocido como SYS01stealer, que tiene como objetivo secuestrar cuentas comerciales de Facebook y propagar aún más el malware.

«Siendo un ladrón de información, SYS01 se centra en exfiltrar datos del navegador como credenciales, historial y cookies,» dijo Trustwave. «Una gran parte de su carga útil se centra en obtener tokens de acceso para cuentas de Facebook, específicamente aquellas con cuentas comerciales de Facebook, lo que puede ayudar a los actores de amenazas a propagar el malware.»

Tags :